I ricercatori Darktrace hanno riferito che il settore ICT, che comprende fornitori di telecomunicazioni, sviluppatori di software e provider di servizi di sicurezza gestiti, è stato il più colpito è a livello globale nel 2021.
I risultati di Darktrace hanno origine da un’”analisi degli indicatori precoci” che osservano e rilevano i potenziali cyber-attacchi durante le diverse fasi prima che siano attribuiti a un particolare attore e si intensifichino degenerando in una crisi completa. I dati mostrano come l’Intelligenza Artificiale di Darktrace abbia bloccato autonomamente una media di 150.000 minacce a settimana contro il settore ICT nel 2021.
Darktrace difende le organizzazioni dalla crescente tendenza degli hacker ad attaccare i server di backup nel tentativo di disattivare o corrompere deliberatamente i file di backup, per renderli inaccessibili. Gli aggressori possono poi lanciare attacchi ransomware contro i clienti del fornitore di backup, impedendo il recupero delle informazioni e forzando il pagamento.
Cyber attacchi: l’attenzione degli hacker è su It e comunicazioni
Nel 2020, il settore più colpito tra i clienti Darktrace era stato quello finanziario e assicurativo, mostrando come negli ultimi 12 mesi i cyber-criminali abbiano spostato la loro attenzione.
Come sottolineato in una nota ufficiale da Justin Fier, Director for Cyber Intelligence and Analysis di Darktrace: «Gli ultimi 12 mesi hanno evidenziato come gli hacker stiano cercando di accedere senza sosta alle reti dei provider di fiducia del settore IT e delle comunicazioni. Molto semplicemente, per i criminali si tratta di un migliore ritorno sull’investimento rispetto, ad esempio, a un attacco verso una società nel settore dei servizi finanziari. SolarWinds e Kaseya sono solo due esempi ben noti e recenti di questo fenomeno. Purtroppo, è probabile che se ne verifichino altri a breve termine».
I risultati della ricerca sono annunciati a distanza di un anno esatto dalla compromissione della società di software statunitense SolarWinds che aveva scosso l’intera industria della sicurezza. Questo attacco alla supply chain aveva reso vulnerabili migliaia di organizzazioni all’infiltrazione attraverso l’inserimento di un codice maligno nel sistema Orion. Negli ultimi 12 mesi si è verificata una feroce ondata di attacchi contro il settore IT e delle comunicazioni, compresi gli attacchi ad alto profilo contro Kaseya e Gitlab.
Gli attori delle minacce spesso utilizzano software e piattaforme di sviluppo come punti di ingresso verso altri obiettivi di alto valore, tra cui governi e autorità, grandi aziende e infrastrutture critiche. Darktrace ha osservato che il metodo di intrusione più comune è attraverso le e-mail, con le organizzazioni del settore ICT che hanno ricevuto una media di 600 campagne di phishing uniche al mese nel 2021. Contrariamente a quanto si possa pensare, le e-mail inviate a queste organizzazioni non contenevano un payload maligno nascosto in un link o in un allegato. Al contrario, i cyber-criminali hanno utilizzato tecniche sofisticate inviando e-mail “pulite” contenenti solo testo, nel tentativo di convincere i destinatari a rispondere e rivelare così informazioni sensibili. Questo metodo è efficace perché, compromettendo gli account di posta elettronica, gli hacker possono successivamente sfruttare la relazione di fiducia tra il fornitore di software e i target prescelti.
Questo tipo di tecniche aggira facilmente gli strumenti di sicurezza legacy che si basano sul controllo dei link e degli allegati rispetto alle blocklist e alle firme. L’AI può impedire che queste e-mail raggiungano le caselle di posta dei dipendenti, identificando l’intera gamma di anomalie, compresi gli indicatori di minacce più sottili.
Come concluso da Fier: «Oggi gli attaccanti sono pazienti e creativi. Di solito cercano di entrare dalla porta principale, compromettendo i fornitori di fiducia nel settore IT e delle comunicazioni. Agli occhi dei clienti queste minacce appaiono solo come un’altra applicazione o un pezzo di hardware che arriva da un provider di fiducia. Non c’è una soluzione “magica” per sventare gli attacchi “incorporati” nei vostri fornitori di software, la vera sfida per le organizzazioni sarà quindi quella di operare accettando questo rischio. Comprendere ciò che è normale per il software utilizzato e di fiducia sarà fondamentale. L’AI è adatta proprio a svolgere questo lavoro: individuare anche i più sottili cambiamenti all’interno di un software compromesso sarà la chiave per combattere gli attacchi del futuro».